ผู้ไม่ประสงค์ดีได้เริ่มขายข้อมูลส่วนตัวของผู้ใช้ Twitter
พบข้อมูลส่วนตัวของผู้ใช้ Twitter มากกว่า 5.4 ล้านบัญชีถูกขโมย โดยผู้ไม่ประสงค์ดีใช้ประโยชน์
จากช่องโหว่ของ API และช่องโหว่นี้ได้รับการแก้ไขแล้วในช่วงเดือนมกราคม 2565 ที่ผ่านมา ซึ่งข้อมูลเหล่านี้ถูกเปิดเผยบน Hacking Forum ประกอบไปด้วยข้อมูลสาธารณะที่คัดลอกมา, หมายเลขโทรศัพท์ส่วนตัว
และที่อยู่อีเมลที่ไม่เปิดเผยต่อสาธารณะ
ในช่วงเดือนกรกฎาคม 2565 ผู้ไม่ประสงค์ดีได้เริ่มขายข้อมูลส่วนตัวของผู้ใช้ Twitter กว่า 5.4 ล้านบัญชีบน Hacking Forum ในราคา 30,000 ดอลลาร์ โดยข้อมูลส่วนใหญ่ประกอบไปด้วยข้อมูลสาธารณะ
เช่น Twitter ID, ชื่อ, ชื่อล็อกอิน, ตำแหน่งที่ตั้ง และ Verified Status รวมถึงข้อมูลส่วนตัว เช่น
หมายเลขโทรศัพท์ และที่อยู่อีเมล โดยใช้ประโยชน์จากช่องโหว่ API ที่เปิดเผยในโปรแกรม HackerOne bug bounty ที่อนุญาตให้ผู้ใช้ส่งหมายเลขโทรศัพท์และที่อยู่อีเมลไปยัง API เพื่อดึงข้อมูล Twitter ID ที่เกี่ยวข้อง เมื่อใช้ ID ดังกล่าว จะทำให้ผู้ไม่ประสงค์ดีสามารถกรองข้อมูลสาธารณะเกี่ยวกับบัญชีเพื่อสร้างบันทึกผู้ใช้
ที่มีทั้งข้อมูลส่วนตัวและข้อมูลสาธารณะ
ตัวอย่างการแก้ไขของบันทึกผู้ใช้ Twitter ที่รั่วไหล
BleepingComputer เปิดเผยว่า ผู้ไม่ประสงค์ดีจำนวนมากได้ใช้ประโยชน์จากช่องโหว่ดังกล่าว
เพื่อขโมยข้อมูลส่วนตัวจาก Twitter ซึ่งทาง Breached Forums ระบุว่า พวกเขามีหน้าที่รับผิดชอบ
ในการใช้ประโยชน์จากช่องโหว่และสร้างบันทึกของผู้ใช้ Twitter จำนวนมาก หลังจากที่มีผู้ไม่ประสงค์ดี
รายอื่นที่รู้จักกันในชื่อ “Devil” ได้ทำการแชร์ช่องโหว่นี้ ซึ่งนอกจากการขายข้อมูลส่วนตัวกว่า 5.4 ล้าน
บัญชีแล้ว ยังมีโปรไฟล์ Twitter เพิ่มเติมอีก 1.4 ล้านรายการสำหรับผู้ใช้ที่ถูกระงับ
ข้อมูล Twitter ที่ถูกแชร์บน Hacking Forum ในเดือนกันยายนและในวันที่ 24 พฤศจิกายน
จำนวน 5.4 ล้านรายการเป็นข้อมูลเดียวกันกับที่ขายในเดือนสิงหาคม รวมถึงบันทึกผู้ใช้ Twitter
อีก 5,485,635 รายการ บันทึกเหล่านี้ประกอบไปด้วยที่อยู่อีเมลส่วนตัวหรือหมายเลขโทรศัพท์
และข้อมูลที่คัดลอกมาจากสาธารณะ รวมถึง Twitter ID, ชื่อ, Screen Name, Verified Status,
ตำแหน่งที่ตั้ง, URL, จำนวนผู้ติดตาม, วันที่สร้างบัญชี, จำนวนเพื่อน, จำนวนรายการโปรด, จำนวนสถานะ และ URL ของรูปโปรไฟล์
ทาง BleepingComputer ได้รับไฟล์ตัวอย่างการถ่ายโอนข้อมูล Twitter ซึ่งมีหมายเลขโทรศัพท์ 1,377,132 หมายเลขสำหรับผู้ใช้ในฝรั่งเศส โดยยืนยันว่าการละเมิดข้อมูลนี้เป็นเรื่องจริง แสดงให้เห็นว่า
การละเมิดข้อมูลของ Twitter มีจำนวนมากกว่าที่เปิดเผยก่อนหน้านี้ ซึ่งไฟล์ถ่ายโอนข้อมูลที่ค้นพบใหม่นี้ประกอบด้วยไฟล์จำนวนมากแยกย่อยออกไปตามรหัสของแต่ละประเทศและพื้นที่ รวมทั้งยุโรป อิสราเอล และสหรัฐอเมริกา
คำแนะนำ
- ใช้รหัสผ่านที่ยากต่อการคาดเดา และไม่ควรใช้รหัสผ่านที่เหมือนกัน
- ใช้การยืนยันตนแบบ 2 ขั้นตอน (Two-Factor Authentication หรือ 2FA)
Ref : https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/